GDPR Compliance – Il business dei dati

gdpr compliance - cilp italia

Il 25 maggio 2018 è entrato in vigore il GDPR, noto acronimo di General Data Protection Regulation, nome del Regolamento (UE) 2016/679 emanato il 27 Aprile 2016.

Il Regolamento succitato stabilisce le regole valide in tutti i Paesi dell’Unione Europea in materia di trattamento dei dati personali e non è altro che il corpo normativo che tutela il diritto a tutelare il flusso di informazioni che riguardano una persona fisica: “l’interessato”, cioè il soggetto cui si riferiscono i dati personali, è il vero protagonista della normativa che, d’impatto, entra in vigore negli Stati europei senza necessità di leggi nazionali di recepimento.

Il testo in questione è molto articolato, si compone di ben 173 considerando e 99 articoli, tanto articolato quanto di difficile applicazione pratica. Il suo adeguamento obbligatorio appare tanto complesso da costringere le imprese, sovente, a rivolgersi ad esperti per adeguare le funzioni operative aziendali alla nuova normativa.

E’ un testo proiettato in un futuro di convivenza con la tecnologia più avanzata: i robot; leggendo il GDPR non possiamo non notare quanto questo rappresenti, a tutti gli effetti, il centro della tutela dell’utilizzo di un nuovo business, decisamente più fruttuoso: i dati.

Si, perchè ormai i dati sono la nuova vera fonte dell’economia globale! Il dato come nuovo fatturato delle aziende! Grazie ai dati personali è possibile creare nuovi prodotti, far nascere nuove esigenze quotidiane, formulare offerte specifiche commisurate alle esigenze di clienti sconosciuti, migliorare le offerte aziendali, controllare l’economia.

L

Viene da sè che questi dati, così importanti e fondamentali per l’economia, non possono viaggiare alla mercè di tutti. Essi esigono una normativa di tutela che ponga fine a restrizioni di matrice giuridica o amministrative le quali, imponendo la gestione locale dei dati a livello nazionale, potrebbero vincolare l’intero mercato UE. Si pensi solo che l’abolizione di queste restrizioni, si calcola, potrebbe generare un fatturato di 8 miliardi di euro l’anno di PIL. A garantire il rispetto del dettame del GDPR, sanzioni importanti in caso di violazione delle sue norme:
– Sanzioni amministrative fino a € 20.000 per i privati e le imprese non facenti parte di gruppi e fino al 4% del fatturato complessivo (consolidato) per i gruppi societari;
– Sanzioni penali che prevedono la pena della reclusione da 1 a 3 anni;
– Ordine di sospensione e/o interruzione del trattamento dei dati personali.
N.B.
Che non si cada nell’errore di non dar peso alle sanzioni! Ad oggi, infatti, gran parte delle sanzioni nei confronti dei titolari del trattamento dei dati sono scattate a seguito di segnalazioni semplici, come quelle di hacker o clienti insoddisfatti!
Il perchè di queste segnalazioni, sempre più in aumento, non è difficile da capire: le persone sono sempre più consce dei propri diritti e pretendono che vengano rispettati.

L’informazione, rende edotti!

Il GDPR pone particolare attenzione al mondo digitale e alle nuove tecnologie, il suo scopo è quello di proteggere i dati personali favorendone la circolazione, al punto di aumentare la fiducia nel digitale e nelle tecnologie – è quanto si legge dal combinato disposto dell’Art. 1 e del considerando n. 6 del Regolamento in parola.

Quali sono i dati tutelati dal GDPR?
L’Art. 4 definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”), si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento  ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
N.B.
Nonostante dalla definizione di dato personale si evince e conferme che la tutela apportata dal GDPR sia rivolta ai dati personali delle persone fisiche, ciò non implica che le società, o le persone giuridiche in genere, non siano ricomprese nelle fattispecie normate dal Regolamento. Soffermandosi ad analizzare ogni sfaccettatura societaria, infatti, si veda come le società si compongono di persone! Dal personale dipendente ai collaboratori, il GDPR tutela raccolta e trattamento dei dati personali ed anche di tutti quei dato che “identificano o rendono identificabile” una persona:
– la targa dell’automobile;
– l’indirizzo IP del PC (sia esso statico o dinamico, così come da pronuncia della Corte di Giustizia Europea nel 2016);
– il nickname;
– il suono della voce;
– le immagini che ritraggono una persona;
– gli indirizzi e-mail (anche se impersonali, purché riferibili ad una persona fisica)
Come adeguarsi al GDPR?
In primis, per renderci conto se ci stiamo muovendo secondo i parametri dettati e imposti dal GDPR, dobbiamo porci alcune domande cardine riguardo la modalità in cui raccogliamo e trattiamo i dati personali.

– Quali dati personali raccogliamo?
– Per quali fini vengono utilizzati?
– In relazione ad un determinato fine, richiediamo un numero di dati sufficiente o superiore a giustificazione di quel fine?
Tre domande molto semplici, ma al contempo fondamentali per entrare nel vivo del modus operandi imposto dalla nuova normativa e sufficienti per rendersi conto di quanto il GDPR non sia una regolamentazione statica, ma un dinamico evolversi, esigendo un continuo adeguamento al suo dettame per garantirne il rispetto.
Nel relazionarsi e adeguarsi al GDPR, pertanto, è necessario seguire un processo di adattamento e manutenzione costante dell’ iter interno aziendale di raccolta e trattamento dei dati personali.
Analizzando i processi aziendali, infatti, si noti come il trattamento dei dati avvenga, molto spesso, nell’espletamento delle attività più comuni, quali funnel marketing landing page mail marketing , marketing generico o nell’interazione con le piattaforme di erogazione corsi, dei canali di pagamento ecc.
Ogni fonte di INPUT di quei dati è e deve essere tutelata e giustificata per il suo fine.
Per garantire la sicurezza dei predetti dati, è imperativo ridurre al minimo la richiesta degli stessi, circoscrivendo questa solo a quei dati prettamente necessari al fine perseguito, quindi limitando lo sfruttamento di quelli superflui (perchè chiedere il numero di telefono per l’adesione ad una campagna mail?).
Si consiglia di soffermarsi ad analizzare la finalità di trattamento dei dati che si vuole richiedere. Senza uno scopo, una finalità d’uso dei dati, non c’è legittimità nè nella loro richiesta nè nel trattamento. Pertanto, prima ancora di richiedere un dato, il GDPR impone di capire perché lo chiediamo, dove e quando lo usiamo, da dove lo reperiamo, di quale dato necessitiamo per il fine perseguito.

APPLICATIVI PRATICI DEL GDPR
Come già anticipato, se il GDPR sancisce un elevamento del dato personale a “petrolio” dell’era digitale, rendendolo il fulcro dello sviluppo business del presente e del futuro, allo stesso tempo esso comporta diritti e obblighi di rilevanza comunitaria.
Le aziende dell’Unione Europea sono tenute a regolamentarsi per prevenire possibili abusi dell’utilizzo delle informazioni riferite o riferibili agli individui e sono tenute a farlo secondo un dictat ben preciso:

  • ’informativa sul trattamento dei dati diventa breve , priva di riferimenti normativi, così da essere semplice e di certa comprensione anche ai minori;
  • Il consenso al trattamento deve essere un consenso inequivocabile ;
  • Viene introdotta la figura del DPO (Data Privacy Officer), un manager dei database aziendali responsabile per la protezione dei dati personali;
  • Vengono introdotti meccanismi di certificazione e nuovi modelli organizzativi per il trattamento dei dati;
  • Si instaurano nuovi diritti, come il diritto all’oblio e il diritto alla portabilità dei dati .

Diritto all’oblio e Diritto alla portabilità del dato
Il Diritto all’oblio ( right to be forgotten/right to erasure ) è il diritto del soggetto interessato di ottenere dal Titolare del trattamento dati la cancellazione dei dati personali che lo riguardano e la rinuncia alla diffusione di questi.
Il Diritto alla portabilità del dato ( data portability ) consiste nel riconoscimento sia del diritto dell’interessato a trasferire i propri dati da un sistema di trattamento elettronico ad un altro, sia il diritto di ottenere gli stessi in un formato elettronico.

Privacy by design Privacy by default
Il principio cardine del GDPR si sintetizza nel minimizzare l’uso dei dati.
Al fine assolvervi e quindi garantirne il corretto trattamento, nascono due ulteriori principi guida:
– Privacy by design significa che la tutela dei dati personali deve essere pensata e organizzata sin dal momento della raccolta delle informazioni. Trattasi di un criterio di minimizzazione dei rischi del trattamento riducendo al minimo i dati da richiedersi
minimation of data );
– Privacy by default significa prevenire la raccolta di dati non necessari, evitando quindi l’acquisizione di dati superflui rispetto agli obiettivi dichiarati nell’informativa.
Cosa deve contenere l’informativa?
L’informativa sul trattamento dati deve essere completa di:

  1. Identificazione del titolare del trattamento dei dati;
  2. I dati di contatto del DPO;
  3. La finalità del trattamento cui i dati sono destinati;
  4. Gli eventuali destinatari e categorie di destinatari dei dati personali e l’eventuale intenzione del titolare di trasferirli a Paesi terzi;
  5. Il periodo di conservazione dei dati;
  6. L’esistenza del diritto dell’interessato di chiedere al titolare il diritto di accesso ai dati, la rettifica, cancellazione, limitazione del trattamento o altro diritto alla portabilità del dato;
  7. L’esistenza del diritto di revoca esercitabile in qualunque momento;
  8. Il diritto di proporre reclamo ad un’autorità di controllo.

Come essere data compliant ?

  1. Creare una cartella di conformità per la protezione dei dati sul file system aziendale. Questo costituirà la base della tua prova di conformità.

Ogni passo che intraprendi per la conformità GDPR dovrebbe essere documentato per essere usato a tua difesa, se necessario.

  1. Tenere note delle riunioni interne su GDPR e decisioni prese su GDPR.
  2. Nominare un responsabile della protezione dei dati.
  3. Mappare i dati, cioè stabilire quali dati raccoglie la tua attività e dove.
  4. Spartire i dati in categorie.
  5. Identificare le basi legali per l’elaborazione di ciascuna categoria di dati.
  6. Richiedi il consenso, se necessario.
  7. Implementare una politica per identificare e gestire eventuali richieste di accesso ai dati.
  8. Implementare una politica per identificare e gestire qualsiasi richiesta di cancellazione o correzione dei dati.
  9. Creare un documento di problemi di non conformità per mostrare consapevolezza delle omissioni di conformità e pianificare una totale conformità o almeno un’attenta mitigazione del rischio.
  10. Creare una password per tutti gli utenti (personale, sito Web, ecc.)
  11. Tenere un registro dei consensi per coloro che hanno già aderito e coloro che devono ancora farlo.
  12. Creare un programma di conservazione per i dati. Quando i dati hanno raggiunto la fine del periodo di conservazione, distruggerli in conformità con una politica di distruzione dei dati (ridurre al minimo i dati in tuo possesso).
  13. Coinvolgere il personale in modo che TUTTI comprendano ciò che sono i dati personali.
  14. Allenare lo staff a riconoscere una violazione.
  15. Assicurarsi che il sito web sia HTTPS (sicurezza in base alla progettazione)
  16. Considerare quali persone dovrebbero avere accesso ai dati su ciascun dispositivo
  17. Aggiornare l’informativa sulla privacy del sito web

 

Avv. Sara Iacobelli

0

Leave a comment